O que é o Q-Day? A ameaça quântica ao Bitcoin explicada

Atualmente, os computadores quânticos não conseguem quebrar a criptografia do Bitcoin, mas os novos avanços do Google e da IBM indicam que a diferença está fazendo mais rápido do que o esperado.

O progresso na direção de sistemas quânticos tolerantes a falhas eleva as apostas para o chamado “Q-Day” — o momento em que uma máquina suficientemente poderosa poderia quebrar endereços antigos de Bitcoin e exportar mais de US$ 711 bilhões em carteiras vulneráveis.

Atualizar o Bitcoin para um estado pós-quântico de progresso anos, o que significa que o trabalho precisa começar muito antes da chegada da ameaça. O desafio, dizem os especialistas, é que ninguém sabe quando isso ocorrerá — e a comunidade tem dificuldade em concordar sobre como avançar com um plano.

Essa incerteza gera o temor persistente de que um computador quântico capaz de atacar o Bitcoin possa surgir antes que a rede esteja pronta.

Leia também: O que é computação quântica? Um guia para iniciantes sobre o computador do futuro

Neste artigo, veremos a ameaça quântica ao Bitcoin e o que precisa mudar para preparar a principal blockchain do mundo.

Como funcionaria um ataque quântico

Um ataque bem-sucedido não pareceria algo espetacular. Um ladrão com um computador quântico começaria escaneando a blockchain em busca de qualquer endereço que já tenha revelado uma chave pública. Carteiras antigas, endereços reutilizados, saídas de mineradores do início da rede e contas dormentes se enquadram nessa categoria.

O invasor copiaria uma chave pública e a executaria em um computador quântico usando o algoritmo de Shor. Desenvolvido em 1994 pelo matemático Peter Shor, o algoritmo permite que uma máquina quântica fatorize grandes números e resolva o problema do logaritmo discreto com muito mais eficiência do que qualquer computador clássico.

As assinaturas de curva elíptica do Bitcoin dependem da dificuldade desses problemas. Com qubits suficientes e correção de erros, um computador quântico poderia usar o método de Shor para calcular a chave privada vinculada à chave pública exposta.

Como explicou Justin Thaler, pesquisador associado de Andreessen Horowitz e professor da Universidade de Georgetown, uma vez recuperada a chave privada, o invasor poderia mover as moedas.

“O que um computador quântico poderia fazer — e isso é o que importa para o Bitcoin — é forjar as assinaturas digitais que o Bitcoin usa hoje”, disse Thaler. “Alguém com um computador quântico poderia autorizar uma transação retirando todos os Bitcoins de sua conta, mesmo sem sua permissão. Essa é uma preocupação.”

Uma assinatura falsificada pareceria legítima para a rede do Bitcoin. Os nós a aceitariam, os mineradores a incluiriam em um bloco e nada na blockchain indicando que a transação é suspeita. Se um invasor atacasse um grande grupo de endereços expostos de uma vez, bilhões de dólares poderiam ser movidos em minutos. O mercado reagiu antes mesmo de haver confirmação de que um ataque quântico ocorreu.

O estado da computação quântica em 2025

Em 2025, a computação quântica finalmente começou a parecer menos teórico e mais prático.

• Janeiro de 2025: O chip Willow de 105 qubits do Google mostrou grande redução de erros e desempenho superior aos supercomputadores clássicos.
• Fevereiro de 2025: A Microsoft lançou sua plataforma Majorana 1 e ontem registrou o emaranhamento lógico de qubits com a Atom Computing.
• Abril de 2025: o NIST ampliou a coerência de qubits supercondutores para 0,6 milissegundos.
• Junho de 2025: a IBM distribuiu metas de 200 qubits lógicos até 2029 e mais de 1.000 no início da década de 2030.
• Outubro de 2025: uma IBM emaranhou 120 qubits; o Google confirmou confirmação quântica verificada.
• Novembro de 2025: A IBM anunciou novos chips e softwares com foco em vantagem quântica em 2026 e sistemas tolerantes a falhas até 2029.

Por que o Bitcoin se tornou vulnerável?

As assinaturas do Bitcoin usam criptografia de curva elíptica. Gastar a partir de um endereço revela a chave pública por trás dele, e essa exposição é permanente. Sem formato inicial pagar para chave públicamuitos endereços publicaram suas chaves públicas na blockchain antes mesmo da primeira transação. Formatos posteriores, hash de chave pública pagamantinham a chave oculta até o primeiro uso.

Como suas chaves públicas nunca foram ocultadas, essas moedas mais antigas — incluindo cerca de 1 milhão de Bitcoins da era Satoshi — estão expostas a futuros ataques quânticos. Migrar para assinaturas digitais pós-quânticas, explicou Thaler, exige ação ativa.

Leia também: O famoso analista Willy Woo diz qual é a maneira mais rápida do Bitcoin se preparar para a ameaça quântica

“Para que Satoshi proteja suas moedas, seria preciso movê-las para novas carteiras seguras contra ataques quânticos”, disse. “A maior preocupação são as moedas abandonadas, cerca de US$ 180 bilhões, incluindo aproximadamente US$ 100 bilhões que se acredita pertencerem a Satoshi. São valores imensos, mas estão abandonados — e esse é o verdadeiro risco.”

Aumentando o risco estão as moedas associadas a chaves privadas perdidas. Muitas intocadas estão há mais de uma década e, sem essas chaves, nunca poderão ser especiais para carteiras resistentes a quânticos, tornando-se alvos viáveis ​​para futuros ataques.

Ninguém pode congelar Bitcoins diretamente na blockchain. As defesas práticas contra ameaças quânticas futuras concentram-se em migrar fundos vulneráveis, adotando endereços pós-quânticos ou gerenciando riscos existentes.

No entanto, Thaler sugeriu que criptografia e esquemas de assinatura digital pós-quânticos trazem custos de desempenho altos, pois são muito maiores e mais pesados ​​do que as assinaturas atuais de 64 bytes.

“As assinaturas digitais têm atualmente cerca de 64 bytes. As versões pós-quânticas podem ser de 10 a 100 vezes maiores”, disse. “Em uma blockchain, esse aumento de tamanho é um problema muito maior porque cada nó precisa armazenar essas assinaturas para sempre. Gerenciar esse custo, o tamanho literal dos dados, é muito mais difícil aqui do que em outros sistemas.”

Caminhos para a proteção

Desenvolvedores já pro colocados vários Propostas de melhoria do Bitcoin (BIPs) para preparar uma rede contra ataques quânticos. Elas seguem caminhos diferentes — desde proteções específicas até migrações completas da rede.

• BIP-360 (P2QRH): cria novos endereços “bc1r…” que combinam assinaturas de curva elíptica com esquemas pós-quânticos como ML-DSA ou SLH-DSA. Oferece segurança híbrida sem garfo duromas as assinaturas maiores implicam taxas mais altas.
• Raiz quântica segura: adicione um ramo oculto pós-quântico ao Taproot. Se ataques quânticos se tornarem realistas, os mineradores poderiam adotar um garfo macio para exigir o uso desse ramo, enquanto os usuários operam normalmente até lá.
• Protocolo de migração de endereços resistente a quantum (QRAMP): plano de migração obrigatório que mova UTXOs vulneráveis ​​para destinos seguros contra quânticos, provavelmente via garfo duro.
• Pague para Taproot Hash (P2TRH): substituindo chaves visíveis do Taproot por versões duplamente hasheadas, limitando a exposição sem quebras de compatibilidade ou usando nova criptografia.
• Compressão de transações não interativas (NTC) via STARKs: utiliza provas de conhecimento zero para comprimir grandes assinaturas pós-quânticas em uma única prova por bloco, redução de custos de armazenamento e taxas.
• Esquemas Commit-Reveal: com base em compromissos hasheados publicados antes de qualquer ameaça quântica.
  • UTXOs auxiliares anexo pequenas saídas pós-quânticas para proteger gastos.
  • As transações “pílula venenosa” permitem pré-publicar caminhos de recuperação.
  • Variantes sem estilo Fawkescoin Permaneça dormente até que um computador quântico real seja demonstrado.

Em conjunto, essas propostas delineiam um caminho gradual para a segurança quântica: correções rápidas e de baixo impacto, como P2TRH, agora — e atualizações mais pesadas, como o BIP-360 ou atualizações via STARKs, conforme o risco aumenta. Todos exigidos de forma ampla e harmoniosa, e muitos formatos de endereços e esquemas de assinatura pós-quânticos ainda estão na discussão inicial.

Thaler destacou que a descentralização do Bitcoin — sua maior força — também se torna lenta e difícil de atualização, já que qualquer novo esquema de assinatura exigia amplo consenso entre mineradores, desenvolvedores e usuários.

“Dois grandes problemas se destacam para o Bitcoin. Primeiro, as atualizações demoram muito, se é que acontecem. Segundo, há as moedas abandonadas. Qualquer migração para assinaturas pós-quânticas precisa ser ativa, e os donos dessas carteiras antigas desapareceram”, disse Thaler.

“A comunidade precisa decidir o que fazer com eles: ou concorda em remover-las de circulação, ou não faz nada e deixa que invasores com computadores quânticos as tomem. Esse segundo caminho seria juridicamente ambíguo — e quem as tomasse provavelmente não se importaria.”

A maioria dos detentores de Bitcoin não precisa agir imediatamente. Alguns hábitos já ajudam a reduzir o risco de longo prazo — como evitar reutilizar pedidos, mantendo a chave pública oculta até gastar, e usar carteiras modernas.

Os computadores quânticos de hoje ainda estão longe de quebrar o Bitcoine a variação sobre quando isso acontecerá variam amplamente. Alguns pesquisadores veem uma ameaça dentro de cinco anos; outros, apenas na década de 2030 — mas os investimentos contínuos podem acelerar essa linha do tempo.

* Traduzido e editado com autorização do Decrypt.

No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, você ganhará recompensas exclusivas. Saiba mais!